Ένα remote access trojan πολλαπλών σταδίων (RAT) που ανακαλύφθηκε πρόσφατα και ονομάζεται ZuoRAT έχει χρησιμοποιηθεί για τη στόχευση απομακρυσμένων εργαζομένων μέσω router small office/home office (SOHO) σε όλη τη Βόρεια Αμερική και την Ευρώπη, χωρίς να έχει εντοπιστεί από το 2020.
Δείτε επίσης: Messenger: Κακόβουλα chatbot κλέβουν credentials για σελίδες Facebook
Σε μια έκθεση σήμερα, ερευνητές ασφαλείας στο Black Lotus Labs της Lumen που εντόπισαν το malware είπαν ότι η πολυπλοκότητα αυτής της εξαιρετικά στοχευμένης καμπάνιας και οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) των επιτιθέμενων είναι τα χαρακτηριστικά ενός απειλητικού παράγοντα που υποστηρίζεται από κάποιο κράτος.
Η έναρξη αυτής της καμπάνιας συνδυάζεται με την στροφή στην απομακρυσμένη εργασία μετά την έναρξη της πανδημίας του COVID-19, η οποία αύξησε δραστικά τον αριθμό των SOHO routers (συμπεριλαμβανομένων των ASUS, Cisco, DrayTek και NETGEAR) που χρησιμοποιούνται από τους υπαλλήλους για πρόσβαση σε εταιρικά assets από το σπίτι.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Δείτε επίσης: Η AMD διερευνά ισχυρισμούς για hack και κλοπή δεδομένων της εταιρείας
Μόλις αναπτυχθεί σε ένα router (χωρίς επιδιορθώσεις έναντι γνωστών ελαττωμάτων ασφαλείας) με τη βοήθεια ενός script εκμετάλλευσης παράκαμψης ελέγχου ταυτότητας, το malware ZuoRAT παρείχε στους εισβολείς εις βάθος δυνατότητες αναγνώρισης δικτύου και συλλογή traffic μέσω passive network sniffing.
Το ZuoRAT επιτρέπει και την πλευρική μετακίνηση άρα μπορεί να παραβιάσει και άλλες συσκευές στο δίκτυο και να αναπτύξει πρόσθετα κακόβουλα payloads (όπως Cobalt Strike beacons) χρησιμοποιώντας DNS και HTTP hijacking.
Δύο ακόμη custom trojans παραδόθηκαν σε συσκευές που έχουν παραβιαστεί κατά τη διάρκεια αυτών των επιθέσεων: ένας με βάση το C++ με το όνομα CBeacon που στοχεύει workstations Windows και ένας με βάση το Go με το όνομα GoBeacon που πιθανότατα θα μπορούσε να μολύνει συστήματα Linux και Mac εκτός από συσκευές Windows.
Το πρόσθετο malware που αναπτύχθηκε σε συστήματα εντός των δικτύων των θυμάτων (δηλαδή, CBeacon, GoBeacon και Cobalt Strike) παρείχε στους απειλητικούς παράγοντες τη δυνατότητα να κατεβάζουν και να ανεβάζουν αρχεία, να εκτελούν αυθαίρετες εντολές, να παραβιάζουν την κυκλοφορία του δικτύου, να εισάγουν νέες διαδικασίες και να αποκτούν persistence στις παραβιασμένες συσκευές.
Δείτε επίσης: Το Raccoon Stealer επιστρέφει με μια νέα έκδοση που κλέβει τα password σας
Με βάση την ηλικία των δειγμάτων που υποβλήθηκαν από το VirusTotal και τα telemetry της Black Lotus Labs διάρκειας εννέα μηνών, οι ερευνητές εκτιμούν ότι μέχρι στιγμής η καμπάνια έχει επηρεάσει τουλάχιστον 80 στόχους.
Πηγή πληροφοριών: bleepingcomputer.com